如要建立機密 VM 執行個體,虛擬機器必須具備下列屬性:
您可以手動設定自己的機密 VM 執行個體,也可以在Google Cloud 控制台中啟用機密 VM 服務時,接受建議設定。
限制
視機密 VM 執行個體的設定方式而定,適用下列限制。
所有機密 VM 執行個體
您必須建立新的 VM 執行個體,才能啟用機密 VM。現有執行個體無法轉換為機密 VM 執行個體。
您無法將 TPU 連接到機密 VM 執行個體。
機密 VM 執行個體的磁碟需要 NVME 介面。不支援 SCSI。
在 Linux 核心版本 5.10 之前的版本中,只有新磁碟可以格式化為 XFS。如要將現有磁碟格式化為 XFS,您需要核心版本 5.10 以上。
您無法將超過 40 個磁碟連接至機密 VM 執行個體。您可以透過支援管道申請例外狀況,但如果執行個體超過 40 個磁碟,可能會無聲失敗。
開機時間與指派給執行個體的記憶體量成正比。如果機密 VM 執行個體的記憶體容量很大,啟動時間可能會較長。
與非機密 VM 執行個體相比,機密 VM 執行個體建立 SSH 連線所需的時間較長。
即時遷移僅支援在 AMD EPYC Milan CPU 平台上執行 AMD SEV 的 N2D 機型。
AMD SEV
由於缺少
/dev/sev-guest套件,Debian 12 不支援 AMD SEV 的認證。C2D 和 N2D 機器類型上的 AMD SEV 最多有
8個 vNIC 佇列。使用 AMD SEV 和 Hyperdisk Throughput 的 N2D 機型有最大資料傳輸大小 (MDTS) 限制。如要避免預先讀取要求超出此限制,請在使用緩衝 I/O 時,將
read_ahead_kb設為124KiB。
* C4D 和 C3D 機器類型上的 AMD SEV 有以下限制:
使用 C4D 和 C3D 機型的 Confidential VM 執行個體,即使啟用每部 VM 的 Tier_1 網路效能,網路頻寬仍可能低於同等非機密 VM。
系統不支援超過 255 個 vCPU 的 VM 和 Bare Metal 執行個體。
標記為
SEV_CAPABLE的rhel-8-4-sap-ha映像檔不適用於搭載 AMD SEV 的 C4D 和 C3D 機器,且這些機器的 vCPU 數量超過 8 個。這張圖片缺少必要的修補程式, 可增加高網路佇列的 SWIOTLB 緩衝區大小。在 C3D 機型上使用 AMD SEV 的機密 VM 執行個體不支援 Hyperdisk Balanced 和 Hyperdisk Throughput。
AMD SEV-SNP
Intel TDX
不支援本機 SSD 機器類型。
與標準 VM 執行個體相比,VM 執行個體需要較長時間才能關閉。 延遲時間會隨著 VM 記憶體大小增加。
只有使用 NVMe 介面的已平衡永久磁碟磁碟區才支援這項功能。
與非機密 VM 執行個體相比,VM 執行個體的網路頻寬可能會較低,延遲時間也較長。
您無法在單一用戶群節點群組上佈建 VM 執行個體。
由於額外的安全限制,CPUID 指令可能會傳回有限或沒有 CPU 架構詳細資料。這可能會影響依賴這些 CPUID 值的負載效能。
VM 執行個體不支援
kdump。請改用訪客控制台記錄。如果客體映像檔沒有 TDX 停止修正,停止時間可能會延長,導致效能下降。為避免效能降低,請確認這些修補程式位於客體核心建構版本中。
採用 Intel TDX 的機密 VM 執行個體不支援預留項目。
NVIDIA 機密運算
A3 系列機器上的機密 VM 執行個體有下列限制:
機器類型、CPU 和區域
下列機器類型和設定支援機密 VM。
| 機型 | CPU 平台 | 機密運算技術 | 支援即時遷移 | GPU 支援 |
|---|---|---|---|---|
|
|
|
|
不支援 | 支援 |
|
C4D |
|
|
不支援 | 不支援 |
|
|
|
|
不支援 | 不支援 |
|
C3D |
|
|
不支援 | 不支援 |
|
C2D |
|
|
不支援 | 不支援 |
|
N2D |
|
|
僅適用於 Milan 的 AMD SEV VM | 不支援 |
查看支援的可用區
您可以透過下列任一方法,查看哪些區域支援這些機器類型和機密運算技術。
AMD SEV
參考表格
如要查看哪些區域支援機密 VM 的 SEV,請完成下列步驟。
請參閱「可用地區和區域」。
按一下「選取機器類型」,然後選取「N2D」、「C2D」、「C3D」和「C4D」。
按一下「選取 CPU」,然後選取「AMD EPYC Milan」、「AMD EPYC Genoa」或「AMD EPYC Turin」。
gcloud
如要列出 Google Cloud中可用的區域,請執行下列指令:
gcloud compute zones list \
--format="value(NAME)"
如要列出特定區域可用的 CPU 平台,請執行下列指令,並檢查是否支援 AMD Milan、AMD Genoa 或 AMD Turin:
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
下列區域支援 AMD SEV-SNP,且須使用搭載 AMD Milan CPU 平台的 N2D 機器類型:
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
下列區域支援 Intel TDX,適用於 c3-standard-* 機器類型。
asia-northeast1-b
asia-south1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east1-c
us-east1-d
us-east5-b
us-east5-c
us-west1-a
us-west1-b
NVIDIA 機密運算
在下列區域中,機密 VM 執行個體可支援 NVIDIA 機密運算,並在 a3-highgpu-1g 機器類型上附加 GPU。
europe-west4-c
us-central1-a
us-east5-a
作業系統
如要瞭解可用的機密 VM 作業系統映像檔,請參閱「作業系統詳細資料」。找出您選擇的發行版本,然後按一下「安全性功能」分頁,確認是否支援機密 VM。
或者,您也可以使用 gcloud 指令查看支援的作業系統映像檔,或建立自己的 Linux 映像檔。
使用 gcloud 查看支援的作業系統映像檔
可使用的作業系統映像檔取決於您選擇的機密運算技術。
如要列出支援 AMD 和 Intel Confidential Computing 技術的作業系統映像檔、映像檔系列和版本,請執行下列指令:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
提供下列值:
OS_FEATURE:您需要的機密運算支援類型。可接受的值如下:
SEV_CAPABLE:支援 AMD SEV 的作業系統。SEV_LIVE_MIGRATABLE_V2:支援 AMD SEV 和即時遷移的作業系統。SEV_SNP_CAPABLE:支援 AMD SEV-SNP 隔離和認證的作業系統。TDX_CAPABLE:支援 Intel TDX 隔離和認證的作業系統。
如要將結果限制為特定映像檔系列、專案,或先前指令回應中提供的其他文字,請使用 AND 運算子,並將 STRING 替換為部分文字相符項目,類似於下列範例:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
如要查看特定映像檔的詳細資料,請使用先前指令的回應詳細資料,執行下列指令:
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
支援搭載 GPU 的 Confidential VM 執行個體映像檔
對於使用 Intel TDX 且已附加 H100 GPU 的 A3 機器系列 Confidential VM 執行個體,建議使用下列作業系統映像檔系列。
ubuntu-2204-ltscos-tdx-113-lts
其他圖片可能會標示為 TDX_CAPABLE,但我們不會提供官方支援。
後續步驟
瞭解如何建立機密 VM 執行個體。
瞭解如何建立搭載 GPU 的機密 VM 執行個體。